SSL安全套接层协议 知识体系|实验18|练习二 SSL-安全套接层协议 Webmin的安装、配置及应用 应用服务器web-source/index.html检索 基于Webmin管理snort 应用服务器web-source/index.html检索 Snortsnarf安装、配置与应用 应用服务器web-source/index.html检索
实验步骤
「说明」 http://应用服务器IP/web-source/index.html提供实验所需软件工具及相关参考资源。 一.搭建网络环境
使用主机A~F搭建实验网络环境,如图2-3所示。
图2-3
实验主机角色及系统环境要求如下表。 实验主机 主机A 主机B 主机C 主机D 主机E 主机F 实验角色 网段I内工作主机 网段I入侵检测器 网关G 管理主机M 网段II内工作主机 网段II入侵检测器 系统环境 Windows Linux Linux Windows Linux Linux 1.主机C网关环境配置 主机C添加两块以太网卡(共三块),为三块网卡静态分配IP地址,并开启IPv4数据包转发功能(静态IP如下)。 2.其它主机网络环境配置 主机A、B、D、E、F静态分配IP地址,设置默认网关,并在本机ARP缓冲表中绑定网关IP/MAC地址对。 二.软件安装与配置 「注」 对系统环境已安装软件,实验期间允许对其进行覆盖安装。 1.主机C(网关G)软件安装与配置 (1)主机C安装SnortSam代理,并配置snortsam.conf文件。要求如下: ● SnortSam代理监听端口为30898; ● 接收网段I、II内检测器发出的阻塞请求; ● 将管理主机加入白名单列表; ● 后台运行SnortSam代理
(2)设置snortsam代理开机自启。
(3)安装Webmin,确保管理主机能够对主机C进行远程管理。Webmin登录界面如图2-4所示:
图2-4
2.主机B、F(检测器)软件安装与配置
(1)安装支持SnortSam输出插件的Snort入侵检测系统,并配置snort.conf文件。要求如下:
● 将配置文件snort.conf与规则文件*.rules放入同级目录中; ● 指定报警输出插件为alert_fwsam;
● 利用Snort安装源中的S99snort启动脚本,实现Snort作为服务启动、停止和重新启动;
● 设置Snort开机自启。
(2)安装Webmin及Snort扩展模块,并修改Snort IDS Admin配置信息,要求如
下:
(3)安装SnortSnarf,编写执行脚本snortsnarf.sh。每隔30分钟执行一次snortsnarf.sh脚本。由SnortSnarf生成的静态Web页面如图2-5所示:
图2-5
三.软件安装与配置
1.主机C(网关G)防火墙设置
主机C修改/etc/sysconfig/iptables文件,重新配置缺省的防火墙规则,规则实现
访问控制如下:
● 设置filter表INPUT规则链默认DROP策略; ● 允许接收内部回环数据(lo网络接口);
● 允许接收eth0网络数据(管理主机所在网络);)
● 允许源172.16.0.253(网段I入侵检测器)访问网关30898/tcp服务(SnortSam代理服务端口);
● 允许源192.168.0.253(网段II入侵检测器)访问网关30898/tcp服务器; ● 设置filter表FORWARD规则链默认DROP策略; ● 允许对eth1<->eth2数据流进行转发; ● 允许对eth0->eth1的网络会话进行转发; ● 允许对eth0->eth2的网络会话进行转发。 2.主机B、F(检测器)防火墙设置
主机B、F修改/etc/sysconfig/iptables文件,重新配置缺省的防火墙规则,规则实现访问控制如下:
● 设置filter表INPUT规则链默认DROP策略;
● 允许源10.10.0.50(管理主机)访问检测器10000/tcp(Webmin)、80/tcp服务; ● 允许检测器访问网关30898/tcp服务。 四.入侵检测与网关G联动测试 1.测试用例
管理主机远程控制检测器(主机B),添加snort规则,对来自主机A、目的地址为主机E的ICMP回显请求数据进行报警,验证网关G对主机A的后续跨网段访问是否阻断成功。
管理主机远程控制检测器(主机F),添加snort规则,对来自主机E、目的地址为主机A的80/tcp访问数据进行报警,验证网关G对主机E的后续跨网段访问是否阻断成功。 2.用例实施